Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan rotasi pengguna tunggal untuk AWS Secrets Manager
Dalam tutorial ini, Anda belajar cara mengatur rotasi pengguna tunggal untuk rahasia yang berisi kredensi database. *Rotasi pengguna tunggal* adalah strategi rotasi di mana Secrets Manager memperbarui kredensi pengguna baik dalam rahasia maupun database. Untuk informasi selengkapnya, lihat [Strategi rotasi: pengguna tunggal](rotation-strategy.md#rotating-secrets-one-user-one-password).
Setelah Anda menyelesaikan tutorial, kami sarankan Anda membersihkan sumber daya dari tutorial. Jangan menggunakannya dalam pengaturan produksi.
Rotasi Secrets Manager menggunakan AWS Lambda fungsi untuk memperbarui rahasia dan database. Untuk informasi tentang biaya penggunaan fungsi Lambda, lihat. [Harga](intro.md#asm_pricing)
**Contents**
+ [Izin](#tutorials_rotation-single_permissions)
+ [Prasyarat](#tutorials_rotation-single_step-setup)
+ [Langkah 1: Buat pengguna database Amazon RDS](#tutorials_rotation-single_step-dbuser)
+ [Langkah 2: Buat rahasia untuk kredensi pengguna database](#tutorials_rotation-single_step-rotate)
+ [Langkah 3: Uji kata sandi yang diputar](#tutorials_rotation-single_step-connect-again)
+ [Langkah 4: Bersihkan Sumber Daya](#tutorials_rotation-single_step-cleanup)
+ [Langkah selanjutnya](#tutorials_rotation-single_step-next)
## Izin
Untuk prasyarat tutorial, Anda memerlukan izin administratif untuk Anda. Akun AWS Dalam pengaturan produksi, ini adalah praktik terbaik untuk menggunakan peran yang berbeda untuk setiap langkah. Misalnya, peran dengan izin admin database akan membuat database Amazon RDS, dan peran dengan izin admin jaringan akan mengatur VPC dan grup keamanan. Untuk langkah-langkah tutorial, kami sarankan Anda terus menggunakan identitas yang sama.
Untuk informasi tentang cara mengatur izin di lingkungan produksi, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).
## Prasyarat
Prasyarat untuk tutorial ini adalah. [Siapkan rotasi pengguna bergantian untuk AWS Secrets Manager](tutorials_rotation-alternating.md) Jangan membersihkan sumber daya di akhir tutorial pertama. Setelah tutorial itu, Anda memiliki lingkungan yang realistis dengan database Amazon RDS dan rahasia Secrets Manager yang berisi kredensi admin untuk database. Anda juga memiliki rahasia kedua yang berisi kredensil untuk pengguna database, tetapi Anda tidak menggunakan rahasia itu dalam tutorial ini.
Anda juga memiliki koneksi yang dikonfigurasi di MySQL Workbench untuk terhubung ke database dengan kredensi admin.
## Langkah 1: Buat pengguna database Amazon RDS
Pertama, Anda memerlukan pengguna yang kredensialnya akan disimpan dalam rahasia. Untuk membuat pengguna, masuk ke database Amazon RDS dengan kredensi admin yang disimpan dalam rahasia. Untuk kesederhanaan, dalam tutorial, Anda membuat pengguna dengan izin penuh ke database. Dalam pengaturan produksi, ini tidak khas, dan kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit.
**Untuk mengambil kata sandi admin**
1. Di konsol Amazon RDS, navigasikan ke database Anda.
1. Pada tab **Konfigurasi**, di bawah **Master Credentials ARN**, pilih Manage in **Secrets** Manager.
Konsol Secrets Manager terbuka.
1. Di halaman detail rahasia, pilih **Ambil nilai rahasia**.
1. Kata sandi muncul di bagian **Nilai rahasia**.
**Untuk membuat pengguna database**
1. **Di MySQL Workbench, klik kanan koneksi dan kemudian pilih Edit **SecretsManagerTutorial**Koneksi.**
1. Dalam kotak dialog **Kelola Koneksi Server**, untuk **Nama Pengguna****admin**, masukkan, lalu pilih **Tutup**.
1. Kembali di MySQL Workbench, pilih koneksi. **SecretsManagerTutorial**
1. Masukkan kata sandi admin yang Anda ambil dari rahasia.
1. ****Di MySQL Workbench, di jendela Query, masukkan perintah berikut (termasuk kata sandi yang kuat) dan kemudian pilih Execute.**** Fungsi rotasi menguji rahasia yang diperbarui dengan menggunakan SELECT, sehingga **dbuser** harus memiliki hak istimewa itu minimal.
```
CREATE USER 'dbuser'@'%' IDENTIFIED BY 'EXAMPLE-PASSWORD';
GRANT SELECT ON myDB . * TO 'dbuser'@'%';
```
Di jendela **Output**, Anda melihat perintah berhasil.
## Langkah 2: Buat rahasia untuk kredensi pengguna database
Selanjutnya, Anda membuat rahasia untuk menyimpan kredensil pengguna yang baru saja Anda buat, dan Anda mengaktifkan rotasi otomatis, termasuk rotasi langsung. Secrets Manager memutar rahasia, yang berarti kata sandi dibuat secara terprogram - tidak ada manusia yang melihat kata sandi baru ini. Memulai rotasi segera juga dapat membantu Anda menentukan apakah rotasi diatur dengan benar.
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, lakukan hal berikut:
1. Untuk **jenis Rahasia**, pilih **Kredensial untuk database Amazon RDS**.
1. Untuk **Kredensial**, masukkan nama pengguna **dbuser** dan kata sandi yang Anda masukkan untuk pengguna database yang Anda buat menggunakan MySQL Workbench.
1. Untuk **Database**, pilih **secretsmanagertutorialdb**.
1. Pilih **Berikutnya**.
1. Pada halaman **Konfigurasi rahasia**, untuk **nama Rahasia**, masukkan **SecretsManagerTutorialDbuser** dan kemudian pilih **Berikutnya**.
1. Pada halaman **Konfigurasi rotasi**, lakukan hal berikut:
1. Nyalakan **rotasi otomatis**.
1. Untuk **jadwal Rotasi**, atur jadwal **Hari**: **2** Hari dengan **Durasi**:**2h**. Tetap **Putar segera** dipilih.
1. Untuk **fungsi Rotasi**, pilih **Buat fungsi rotasi**, dan kemudian untuk nama fungsi, masukkan**tutorial-single-user-rotation**.
1. Untuk **strategi Rotasi**, pilih **Single user**.
1. Pilih **Berikutnya**.
1. Pada halaman **Review**, pilih **Store**.
Secrets Manager kembali ke halaman detail rahasia. Di bagian atas halaman, Anda dapat melihat status konfigurasi rotasi. Secrets Manager menggunakan CloudFormation untuk membuat sumber daya seperti fungsi rotasi Lambda dan peran eksekusi yang menjalankan fungsi Lambda. Setelah CloudFormation selesai, spanduk berubah menjadi **Rahasia yang dijadwalkan untuk rotasi**. Rotasi pertama selesai.
## Langkah 3: Uji kata sandi yang diputar
Setelah rotasi rahasia pertama, yang mungkin memakan waktu beberapa detik, Anda dapat memeriksa bahwa rahasia masih berisi kredenal yang valid. Kata sandi dalam rahasia telah berubah dari kredensi asli.
**Untuk mengambil kata sandi baru dari rahasia**
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Rahasia**, lalu pilih rahasianya**SecretsManagerTutorialDbuser**.
1. Pada halaman **Detail rahasia**, gulir ke bawah dan pilih **Ambil nilai rahasia**.
1. Dalam tabel **kunci/Nilai**, salin **nilai Rahasia** untuk. **password**
**Untuk menguji kredensialnya**
1. **Di MySQL Workbench, klik kanan koneksi dan kemudian pilih Edit **SecretsManagerTutorial**Koneksi.**
1. Dalam kotak dialog **Kelola Koneksi Server**, untuk **Nama Pengguna****dbuser**, masukkan, lalu pilih **Tutup**.
1. Kembali di MySQL Workbench, pilih koneksi. **SecretsManagerTutorial**
1. **Dalam **Buka Koneksi SSH** kotak dialog, untuk **Kata Sandi**, tempel kata sandi yang Anda ambil dari rahasia, lalu pilih OK.**
Jika kredensialnya valid, maka MySQL Workbench terbuka ke halaman desain untuk database.
## Langkah 4: Bersihkan Sumber Daya
Untuk menghindari potensi biaya, hapus rahasia yang Anda buat dalam tutorial ini. Untuk petunjuk, lihat [Hapus AWS Secrets Manager rahasia](manage_delete-secret.md).
Untuk membersihkan sumber daya yang dibuat dalam tutorial sebelumnya, lihat[Langkah 4: Bersihkan Sumber Daya](tutorials_rotation-alternating.md#tutorials_rotation-alternating_step-cleanup).
## Langkah selanjutnya
+ Pelajari cara mengambil rahasia di aplikasi Anda. Lihat [Dapatkan rahasia dari AWS Secrets Manager](retrieving-secrets.md).
+ Pelajari tentang jadwal rotasi lainnya. Lihat [Jadwal rotasi](rotate-secrets_schedule.md).